Uncomplicated Firewall (ufw) (с англ. — «незамысловатый межсетевой экран») — это утилита для конфигурирования межсетевого экрана Netfilter. Она использует интерфейс командной строки, состоящий из небольшого числа простых команд.

 

- Конфиги UFW:

/etc/ufw/user.rules

/etc/ufw/user6.rules

/etc/default/ufw

/etc/ufw/before.rules

/etc/ufw/before6.rules

/etc/ufw/after.rules

etc/ufw/after6.rules

 

- Установить UFW:

# sudo apt-get install ufw

- Статус UFW:

# sudo systemctl status ufw

- Текущие настройки:

# sudo ufw status verbose

- Включить UFW и добавить в автозагрузку. ВНИМАНИЕ! По умолчанию политика всех входящих пакетов - deny, поэтому если включить UFW без предварительной настройки, то связь с сервером будет потеряна:

# sudo ufw enable

- Выключить UFW и удалить из автозагрузки:

# sudo ufw disable

- Разрешить/запретить входящие пакеты по умолчанию:

# sudo ufw default allow/deny incoming

- Разрешить/запретить исходящие пакеты по умолчанию:

# sudo ufw default allow/deny outgoing

- Увидеть список услуг, которые могут быть разрешены или запрещены в системе:

# cat /etc/services | less

- Узнать нумерацию правил:

# sudo ufw status numbered

- Удалить правило по номеру:

# sudo ufw delete 2

- Сброс правил:

# sudo ufw reset

- Включить/отключить логирование следующей команды:

# sudo ufw logging on/off

- Увидеть недавно добавленные правила:

# sudo ufw show added

 

- Открыть/закрыть доступ по SSH:

# sudo ufw allow/deny 22/tcp

# sudo ufw allow/deny ssh

- Удалить доступ по SSH:

# sudo ufw delete allow 22/ssh

- Открыть/закрыть диапазон портов:

# sudo ufw allow/deny 1500:2000/tcp

- Открыть/закрыть доступ с определенного IP-адреса:

# sudo ufw allow/deny from 8.8.8.8

# sudo ufw allow/deny from 8.8.8.0/24

- Открыть/закрыть доступ по SSH для определенного IP:

# sudo ufw allow/deny from 8.8.8.8 to any port 22

# sudo ufw allow/deny proto tcp from 8.8.8.8 to any port 22

- Разрешить/запретить подключение к интерфейсу eth0, порт 80:

# sudo ufw allow/deny in on eth0 to any port 80

- Вставить первым номером правило доступа/запрета порт 80:

# sudo ufw insert 1 allow/deny 80

- Добавление опции --dry-run команде ufw выведет список правил, но не применит их:

# sudo ufw --dry-run allow http

 

Приложения, которые открывают порты, можно включать в профили ufw, которые детализируют какие порты необходимы этому приложению для корректной работы. Профили содержатся в /etc/ufw/applications.d, и могут быть отредактированы, если порты по умолчанию были изменены.

 

- Чтобы посмотреть для каких приложений установлен профиль введите следующую команду в терминале:

# sudo ufw app list

- Аналогично, разрешить трафик по порту, используя профиль приложения, можно следующей командой:

# sudo ufw allow Samba

- Также доступен расширенный синтаксис:

# sudo ufw allow from 192.168.0.0/24 to any app Samba

- Для просмотра деталей какие порты, протоколы и пр. определены для приложения введите:

#sudo ufw app info Samba

 

 

Материалы:

https://andreyex.ru/ubuntu/kak-nastroit-brandmauer-ufw-na-ubuntu-18-04/

http://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/firewall